SlideShare a Scribd company logo

Saas, ASP og Cloud aftaler

Download as PPTX, PDF
Peter Lind Nielsen
Peter Lind Nielsen

Juridiske udfordringer ved SaaS, ASP og Cloud aftaler. Brugt under InternetWeek 2016 hos Bird & Bird

Law
1 of 35
SaaS & ASP & Cloud Computing Internet Week 2016 13. maj 2016 Advokat Peter Lind Nielsen
ASP/SaaS ● Application Service Provider eller Software as a Service − ”Udlejer” af standardsoftware eller standardløsninger − Ligner outsourcing/facility management eller hostingaftaler - en abonnementsaftale − Leverandør, der stiller (ofte) standardsoftware til rådighed for kunder, der via netforbindelse kan afvikle softwaren, herunder behandle egne data, beliggende på leverandørens system (Mainframe, "tynde" klienter) Side 2
Cloud? = Dine data ligger på en andens computer! Problem? Hvor er den? Side 3
Typer af "cloud computing" Customer Boundary Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Internal External Application Application Application Platform Platform Platform Infrastructure Infrastructure Infrastructure SaaS (ASP) Software as a Service IaaS + PaaS + brugerprogramme l – kunden tilgår programmel fra webbrowser PaaS Platform as a Service IaaS + grundlæggende service fx backup, basisprogrammel IaaS Infrastructure as a Service Netværk, computerkraft, lagerplads Det kan være private clouds, public clouds eller restricted community clouds. this market is)DSide 4
Store spillere = ufravigelige standardaftaler ● Juridisk rådgivning − Standardbetingelserne kan sjældent individuelt forhandles! − Vurder overholdelse af lovgivning − Risk Management og forklaring af risici og evt. forslag til afdækning og minimering inden for leverandørens "system" Side 5
Standardaftaler ● Ingen standardkontrakter på området ● Inspiration fra − Outsourcing/facility management − Vedligeholdelses- og driftsstøtteaftaler − Abonnementsaftaler ● Norsk IKT-aftale − Det væsentlige ligger i bilag − Mange huller Side 6
Fordele ● Leverandøren står for installation, drift og vedligeholdelse af platform/softwaren ● Brugeren skal blot betjene systemet – "abonnementsordning" – via webinterface ● Alle omkostninger til drift m.v. sker efter en fast (?) pris, der let kan indgå i budgettet, og der kommer ingen "grimme" overraskelser ● Ingen teknisk viden hos kunden Side 7
Ulemper ● Mister indflydelse ● Mister rådigheden ● Er afhængig af én leverandør ● Risikomomenter som fx internettet og netværksnedbrud, samt leverandørens økonomiske situation og konkurs − ”Gidselsituation”! ● Ofte kun en standardløsning ● Lock-in situation - dataformater ● Skal fortsat have udstyr og behov for teknisk hjælp til intranet og eget udstyr Side 8
Kundens overvejelser inden ASP/SaaS ● Man mister et system og råderetten – man er "lejer" ● Egne omkostninger med nuværende ordning/system ● Omkostninger ved ASP/SaaS - hvad er navnlig ikke dækket − Køb ctr. ”leje” ● Er der nogen reel risiko, eller er risikoen højere end ved eget system, fx ved backup og nedbrud ● Kan man leve med standardløsninger ● Undersøgelse af ASP/SaaS-leverandører − Besøg på ”pladsen” − ASP-leverandørens størrelse, fx antal ansatte og økonomi − Antal kunder og typer af kunder − Er leverandøren afhængig af mange underleverandører − Er det leverandørens eget udviklet software Side 9
Hvad leveres der ● Hvad stiller leverandøren til rådighed − Server - kapacitet − Platform − Software versionsnr./moduler • Krav til funktionalitet - eventuel kravspecifikation • Kommunikationsudstyr − Hardware i øvrigt, fx backup, spejling − Support − Totalleverandør? ● Skal leverandøren levere software/hardware til kunden − Hvad er så minimumskravene til kundens system Side 10
Etablering ● Klar ansvarsfordeling med hvem, der anskaffer hvad ● Hvilke aftaler skal kunden indgå med tredjemand − Hotlineaftaler, internetforbindelse, router etc. ● Overtagelsesprøve (a la K01) ● Driftsprøve (a la K01) ● Ofte blot opsætning – kør! Side 11
SLA I ● Service Level Agreement − Opdatering og fejlrettelser ved softwaren • Ret/pligt til opdatering • Forholdet til specialtilretninger –ofte ingen! − Vedligeholdelse hvornår – "servicevinduer" − Driftseffektivitet og svartider • Målepunkter og metoder − Løbende overvågning 24 x (7) x 365 − Reaktionstider − Backup/reetablering Side 12
SLA II ● Hotline og support − Bemanding og åbningstid ● Ingen "garanti" uden sanktion! − Bod/bonus/afslag i vederlaget − Ofte lav pris derfor få eller ingen bodsbelagte forhold − Ophævelse sjældent en hensigtsmæssig sanktion – men den eneste − Minimum hurtig opsigelse hvis misligholdelse ● Månedlig afrapportering af problemer, herunder nedetid m.v. − Gennemsigtighed for kunden – hvad leveres? Side 13
Priser I ● Etableringsudgifter ● Vederlaget pr. måned/kvartal/år - forud/bagud − Pr. bruger − Pr. tid på systemet − Pr. behandlet datamængde − Fast pris pr. applikation ● Beregningsmatrix - eksempler Side 14
Priser II ● Ændring af vederlaget − Løbende regulering ved uændrede forhold − Ændring i ydelsen, fx flere brugere, flere applikationer m.v. − Ændring af licenspriser fra tredjemand – fx SPLA-aftaler ● Hvad er omfattet af vederlaget − Hotline/support − Opdateringer − Kommunikation Side 15
Sikkerhed I ● Datasikkerhed ved opbevaring og kommunikation − Krav i persondataloven • Ansvarlig for at databehandler (ASP/SaaS leverandøren) overholder reglerne • Skriftlig aftale mellem dataansvarlig og databehandler – Se EU’s standardaftale − Anden lovgivning, fx bogføringsloven, outsourcingsbekg., krigsreglen − Kryptering af transmission − SaaS/Cloud-computing – hvor bliver data’ene opbevaret? • Hvem har adgang til de data • Uden for EU – PAS PÅ!!! • Lokationsgaranti og afskærmning mod tilgang fra 3.lande • EU-standardbehandleraftale − Pas på underdatabehandlere! • Support og vedligeholdelse – også databehandlere! Side 16
Sikkerhed II ● Backup − Hvor tit – og tid på døgnet (CET?) − Bånd, redundante servermiljøer… hvad består backuppen af − Frist for reetablering (ansvarsfraskrivelse) − Løbende test af reetablering − Opbevaring af sikkerhedskopier − Backup hos tredjemand • ”Deponeringsaftale” hvis leverandøren er i misligholdelse Side 17
Sikkerhed III ● Firewall ● Virusscanning m.v. ● Strømforsyning/UPS ● Passwords, krav til længde, ændring osv. ● "Egen server" eller "deleserver"/virtuel server − Fysisk adskillelse til andres data − Identificérbarhed for kundens data Side 18
Sikkerhed IV ● Katastrofeplan − Strømsvigt, ild, oversvømmelse, virus m.v. − Mulighed for replikering på servere på andre lokaliteter − Eskaleringsprocedure − Reaktionstid − Løbende afprøvning ● Kundens ret til kontrol af leverandørens sikkerhedsrutiner ● Evt. krav om revisorerklæringer vedr. sikkerhed − SAS 70, ISO 27001 eller ISAE 3402 Side 19
Eksempel ● Odense Kommunes mulige brug af Google Apps ● Udtalelse fra Datatilsynet ● ……det bliver svært ● http://www.datatilsynet.dk/afgoerelser/seneste- afgoerelser/artikel/udtalelse-i-forbindelse-med-anmeldelse-af-google-apps- online-kontorpakke-med-kalender-og- dokument/?no_cache=1&cHash=bb7c0cc5dc Side 20
● I givet fald må som minimum følgende belyses: ● om Odense Kommune har foretaget en risikovurdering og udfaldet af denne, ● Odense Kommunes vurdering af den i følgebrevet omtalte SAS70 Type II Certification, ● hvilken databehandleraftale, der er indgået eller forventes indgået mellem Odense Kommune og Google Inc., jf. persondatalovens § 42, stk. 2, og sikkerhedsbekendtgørelsens § 7, ● om Odense Kommune har kontrol med, hvor oplysningerne fysisk befinder sig, herunder om oplysningerne alene vil befinde sig på den i anmeldelsen angivne danske adresse i Danmark, eller om de blive behandlet i et andet EU- land eller i et tredjeland3, og ● såfremt oplysningerne behandles i et tredjeland, hvorledes Odense Kommune har tænkt sig at iagttage kravene i persondatalovens § 27, ● hvorledes Odense Kommune vil iagttage sikkerhedsbekendtgørelsens § 9 omkring kassation af anvendte datamedier − Herunder hvorledes Odense Kommune har tænkt sig at sikre, at alle personoplysninger bliver slettet hos Google Inc. efter endt behandling, ● om al behandling af fortrolige personoplysninger vil ske i krypteret form, ● hvilke procedurer der vil blive anvendt ved tildeling af autorisationer, − herunder hvordan Odense Kommune vil kontrollere at kun autoriserede brugere får adgang, ● om adgangskoder vil blive sendt via det åbne internet, ● om en bruger vil kunne vælge, at vedkommendes adgangskode huskes, så den ikke skal indtastes hver gang, ● hvordan kravene til kontrol med afviste adgangsforsøg i sikkerhedsbekendtgørelsens § 18 vil blive iagttaget, samt ● hvordan sikkerhedsbekendtgørelsens § 19 om logning vil blive iagttaget. Side 21
Microsoft 365 ● Udtalelse fra Datatilsynet − Sikkerhedsanalyse og vurderinger − Databehandleraftale • Underdatabehandler − Ret til fysisk kontrol − Logning − Revisionserklæringer Side 22
Leverandørens ansvar I ● Hvad har leverandøren ansvaret for − Til egen "hoveddør" − Til kundens "hoveddør" − Til kundens skærm ● Ansvarsfraskrivelser − Ofte meget omfattende − For underleverandører • Applikationsleverandør • Hosting-/driftsleverandør - underdatabehandler − Tab af data - pligt til reetablering − Virus, hacking, strømudfald? − Hvad skal være force majeure? Side 23
Leverandørens ansvar II ● Ansvar for standardsoftware − Reaktionspligt og opfølgning over for producenten − Afslag for mangelfuld ydelse − Begrænsninger i ansvaret ved fejl og mangler ved standardsoftware Side 24
Ændringshåndtering ● Udvidelser/indskrænkninger i servicen − Flere typer af software/moduler - optioner − Datamængde, antal brugere m.v., moduler − Hvordan beregnes vederlaget ved ændringer − Frister for ændringer − Hvem kan kræve hvilke ændringer − Nemt at skrue op – men hvad med reduktion ● Sikring af funktionalitet og service Side 25
Sanktioner ved ændringer ● Kunden bør altid have en mulighed for at opsige aftalen, inden en væsentlig ændring træder i kraft medmindre: − Objektive og aftalte mekanismer • Forbrugsafregning og nettoprisindeksregulering • Uvæsentlige ændringer Side 26
Kundens data ● Kundens data er kundens ejendom ● Bør sikre, at der ikke er tilbageholdelsesret i data ● Kan de identificeres, fx til brug for en fogedretssag ● Løbende udlevering? ● Dokumentation for systemet − Software, versioner, opdateringer m.v. − Dokumentation for opsætning og tilretninger • Ofte kan kunden ikke få konfigurations- og driftsdokumentation − Mulighed for at flytte til anden leverandør • Ofte kan kunden kun tage egne data med ● Katastrofescenarie - afprøvning Side 27
Immaterielle rettigheder ● Forholdet til standardsoftwareproducenten − Må der laves ASP i henhold til licensbetingelserne • Fx Microsoft Services Provider License Agreement (SPLA) − Er løsningen i overensstemmelse med licensbetingelserne − Ansvarsfraskrivelser fra leverandøren − Hvem indgås aftalen egentlig med ● Vanhjemmel og kundens sanktioner ved krænkelse af tredjemandsrettigheder ● Mulighed for overtagelse af licenser m.v. ved ophør af aftalen? Side 28
Misligholdelse ● Kunden − Manglende betaling - frister og påkrav − Leverandørens mulighed for at stoppe ydelser/tilbageholdsret − Krav om sikkerhedsstillelse ● Leverandøren − Konkretisering af misligholdelsen • Manglende overholdelse af SLA − Økonomiske vanskeligheder fx ved udlæg, konkurs, rekonstruktionsforhandlinger mm. Side 29
Opsigelse ● Uopsigelighedsperiode ● Varsel ● Begrænsninger i retten til at opsige ● Delvis opsigelse ● Ophævelse − Frist for afhjælpning - knyttet til SLA og performance og ikke bare fx 14 dages afhjælpningsret − Fastlæggelse af kompensation ved leverandørens misligholdelse Side 30
Ophør - tilbagelevering ● Udlevering af data og dokumentation − Hvilke data • Programmer? • Dokumentation? • Ændringer/tilpasninger – konfigurationsoplysninger m.v. − Datamedie og format − Tidsfrister − Afgivelse af øvrige oplysninger − Pligt for leverandøren til at medvirke eventuelt mod betaling - Forskel mellem ophævelse og opsigelse • Fx sikkerhedsstillelse ved ophævelse som følge af kundens misligholdelse Side 31
Væsentlige forhold - tjekliste ● Priser og prissammensætning ● Opsigelse − Frister, uopsigelighed, cyklusser ● Betingelse af indgåelse af andre aftaler − Licensaftaler − Teleaftaler ● Leverandørens ændring af − Ydelser − Vilkår − Priser − Varsel – ændringsvarsel <> opsigelsesvarsel ● Sikkerhed − Backup – opbevaring, hvor tit − Kryptering − Firewall − Overholdelse af standarder DS484, ISO - revisionserklæring Side 32
● Sikkerhed − Backup – opbevaring og hvor tit − Disaster recovery − Data placering − Adskillelse fra andre kunder − Password krav og styring − Kryptering − Firewall − Overholdelse af standarder DS484, ISO m.fl. • Revisionserklæring • Eller anden form for kontrol ● Kan vi opfylde loven? − Persondata, bogføringslov osv. Side 33
● Support ● Servicemål − Reaktionstider, frister for fejlretning, oppetid ● Kundens misligholdelse – sanktioner − Tilbageholdsret i data/applikationer − Stoppe ydelserne uden påkrav − Ophævelse ● Leverandørens misligholdelse − Garantier uden sanktioner? − Afslag/bod − Hæve − Opsigelse – evt. forkortet varsel − Erstatningsbegrænsning ● Konkurs − Kan data identificeres Side 34
● Opsigelse/ophør ● Placering af data ● Underleverandører ● Kundens adgang til data − Mulighed for at kunden kan tage backup − Formater – evt. åbne/standardformater − Ved ophør hvad så? − Worst case – totalt nedbrud? ● Overdragelse ● Lovvalg og værneting Side 35

Recommended

Skjult reklame og brug af bloggere til markedsføring
Skjult reklame og brug af bloggere til markedsføringSkjult reklame og brug af bloggere til markedsføring
Skjult reklame og brug af bloggere til markedsføringPeter Lind Nielsen
 
Migration from ASP to ASP.NET
Migration from ASP to ASP.NETMigration from ASP to ASP.NET
Migration from ASP to ASP.NETInformation Technology
 
Retorikk Prcent 2c+Powerpointpresentasjon 1
Retorikk Prcent 2c+Powerpointpresentasjon 1Retorikk Prcent 2c+Powerpointpresentasjon 1
Retorikk Prcent 2c+Powerpointpresentasjon 1dorotl04
 
GDPR for CIOs i praksis
GDPR for CIOs i praksisGDPR for CIOs i praksis
GDPR for CIOs i praksisMicrosoft
 
Dansk It Neupart Cloud Sikkerhed Risikovurdering
Dansk It Neupart Cloud Sikkerhed RisikovurderingDansk It Neupart Cloud Sikkerhed Risikovurdering
Dansk It Neupart Cloud Sikkerhed RisikovurderingLars Neupart
 
Hårde EU-straffe for persondatabrud - Michael Hopp, Plesner
Hårde EU-straffe for persondatabrud - Michael Hopp, PlesnerHårde EU-straffe for persondatabrud - Michael Hopp, Plesner
Hårde EU-straffe for persondatabrud - Michael Hopp, PlesnerMediehuset Ingeniøren Live
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceMicrosoft
 
IP Contractors intro - IP NOC og Drift
IP Contractors intro - IP NOC og DriftIP Contractors intro - IP NOC og Drift
IP Contractors intro - IP NOC og DriftLars Bodenhoff
 

Recommended

Skjult reklame og brug af bloggere til markedsføring
Skjult reklame og brug af bloggere til markedsføringSkjult reklame og brug af bloggere til markedsføring
Skjult reklame og brug af bloggere til markedsføringPeter Lind Nielsen
 
Migration from ASP to ASP.NET
Migration from ASP to ASP.NETMigration from ASP to ASP.NET
Migration from ASP to ASP.NETInformation Technology
 
Retorikk Prcent 2c+Powerpointpresentasjon 1
Retorikk Prcent 2c+Powerpointpresentasjon 1Retorikk Prcent 2c+Powerpointpresentasjon 1
Retorikk Prcent 2c+Powerpointpresentasjon 1dorotl04
 
GDPR for CIOs i praksis
GDPR for CIOs i praksisGDPR for CIOs i praksis
GDPR for CIOs i praksisMicrosoft
 
Dansk It Neupart Cloud Sikkerhed Risikovurdering
Dansk It Neupart Cloud Sikkerhed RisikovurderingDansk It Neupart Cloud Sikkerhed Risikovurdering
Dansk It Neupart Cloud Sikkerhed RisikovurderingLars Neupart
 
Hårde EU-straffe for persondatabrud - Michael Hopp, Plesner
Hårde EU-straffe for persondatabrud - Michael Hopp, PlesnerHårde EU-straffe for persondatabrud - Michael Hopp, Plesner
Hårde EU-straffe for persondatabrud - Michael Hopp, PlesnerMediehuset Ingeniøren Live
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceMicrosoft
 
IP Contractors intro - IP NOC og Drift
IP Contractors intro - IP NOC og DriftIP Contractors intro - IP NOC og Drift
IP Contractors intro - IP NOC og DriftLars Bodenhoff
 
EU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdeEU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdePeytz & Co
 
Dcr graphs og eco know i syddjurs kommune februar 2018
Dcr graphs og eco know i syddjurs kommune februar 2018Dcr graphs og eco know i syddjurs kommune februar 2018
Dcr graphs og eco know i syddjurs kommune februar 2018InfinIT - Innovationsnetværket for it
 
Muligheder for sikker cloud computing
Muligheder for sikker cloud computingMuligheder for sikker cloud computing
Muligheder for sikker cloud computingLars Neupart
 
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"Alexandra Instituttet
 
Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Kim Jensen
 
Itera: Fremtidens projekt- og procesværktøjer er her nu
Itera: Fremtidens projekt- og procesværktøjer er her nuItera: Fremtidens projekt- og procesværktøjer er her nu
Itera: Fremtidens projekt- og procesværktøjer er her nuMediehuset Ingeniøren Live
 
Sikkert i Skyen.pptx
Sikkert i Skyen.pptxSikkert i Skyen.pptx
Sikkert i Skyen.pptxNiels Peter Martin Pedersen
 
GDPR og Cloud - Infowise
GDPR og Cloud - InfowiseGDPR og Cloud - Infowise
GDPR og Cloud - InfowiseOliver O'loughlin
 
Erfaringer med systemtest baseret på cases i det nordjyske af Niels Andersen,...
Erfaringer med systemtest baseret på cases i det nordjyske af Niels Andersen,...Erfaringer med systemtest baseret på cases i det nordjyske af Niels Andersen,...
Erfaringer med systemtest baseret på cases i det nordjyske af Niels Andersen,...InfinIT - Innovationsnetværket for it
 
Står bagdøren åben? - TOPdesk on Tour Denmark 2017
Står bagdøren åben? - TOPdesk on Tour Denmark 2017Står bagdøren åben? - TOPdesk on Tour Denmark 2017
Står bagdøren åben? - TOPdesk on Tour Denmark 2017TOPdesk
 
Digicure seminar | Mobil web performance optimering
Digicure seminar | Mobil web performance optimeringDigicure seminar | Mobil web performance optimering
Digicure seminar | Mobil web performance optimeringTobias Borg Petersen
 
Netcompany MorgenBriefingCRM
Netcompany MorgenBriefingCRMNetcompany MorgenBriefingCRM
Netcompany MorgenBriefingCRMMicrosoft
 
Sikring af interoperabilitet i et IoT økosystem
Sikring af interoperabilitet i et IoT økosystemSikring af interoperabilitet i et IoT økosystem
Sikring af interoperabilitet i et IoT økosystemLakeside A/S
 
Nyt CMS til din kommune?
Nyt CMS til din kommune?Nyt CMS til din kommune?
Nyt CMS til din kommune?Janus Boye
 
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/ConsciaSådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/ConsciaMediehuset Ingeniøren Live
 
Ingen projektstyring uden risikostyring!, Jesper Pedersen - Rambøll
Ingen projektstyring uden risikostyring!, Jesper Pedersen - RambøllIngen projektstyring uden risikostyring!, Jesper Pedersen - Rambøll
Ingen projektstyring uden risikostyring!, Jesper Pedersen - RambøllMediehuset Ingeniøren Live
 
Sådan kan du bruge Berg & Have
Sådan kan du bruge Berg & HaveSådan kan du bruge Berg & Have
Sådan kan du bruge Berg & HaveMorten Have
 
Uptime certificeret Tier III: Mærsk case - Rune Stenbæk, Coromatic
Uptime certificeret Tier III: Mærsk case - Rune Stenbæk, CoromaticUptime certificeret Tier III: Mærsk case - Rune Stenbæk, Coromatic
Uptime certificeret Tier III: Mærsk case - Rune Stenbæk, CoromaticMediehuset Ingeniøren Live
 
Bof webinar-ibm docs-august2013
Bof webinar-ibm docs-august2013Bof webinar-ibm docs-august2013
Bof webinar-ibm docs-august2013IBM Collaboration Solutions - Denmark
 
Standardisering og effektivitet i IT afdelingen
Standardisering og effektivitet i IT afdelingenStandardisering og effektivitet i IT afdelingen
Standardisering og effektivitet i IT afdelingenMicrosoft
 

More Related Content

Similar to Saas, ASP og Cloud aftaler

EU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdeEU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdePeytz & Co
 
Muligheder for sikker cloud computing
Muligheder for sikker cloud computingMuligheder for sikker cloud computing
Muligheder for sikker cloud computingLars Neupart
 
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"Alexandra Instituttet
 
Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Kim Jensen
 
Itera: Fremtidens projekt- og procesværktøjer er her nu
Itera: Fremtidens projekt- og procesværktøjer er her nuItera: Fremtidens projekt- og procesværktøjer er her nu
Itera: Fremtidens projekt- og procesværktøjer er her nuMediehuset Ingeniøren Live
 
Erfaringer med systemtest baseret på cases i det nordjyske af Niels Andersen,...
Erfaringer med systemtest baseret på cases i det nordjyske af Niels Andersen,...Erfaringer med systemtest baseret på cases i det nordjyske af Niels Andersen,...
Erfaringer med systemtest baseret på cases i det nordjyske af Niels Andersen,...InfinIT - Innovationsnetværket for it
 
Står bagdøren åben? - TOPdesk on Tour Denmark 2017
Står bagdøren åben? - TOPdesk on Tour Denmark 2017Står bagdøren åben? - TOPdesk on Tour Denmark 2017
Står bagdøren åben? - TOPdesk on Tour Denmark 2017TOPdesk
 
Digicure seminar | Mobil web performance optimering
Digicure seminar | Mobil web performance optimeringDigicure seminar | Mobil web performance optimering
Digicure seminar | Mobil web performance optimeringTobias Borg Petersen
 
Netcompany MorgenBriefingCRM
Netcompany MorgenBriefingCRMNetcompany MorgenBriefingCRM
Netcompany MorgenBriefingCRMMicrosoft
 
Sikring af interoperabilitet i et IoT økosystem
Sikring af interoperabilitet i et IoT økosystemSikring af interoperabilitet i et IoT økosystem
Sikring af interoperabilitet i et IoT økosystemLakeside A/S
 
Nyt CMS til din kommune?
Nyt CMS til din kommune?Nyt CMS til din kommune?
Nyt CMS til din kommune?Janus Boye
 
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/ConsciaSådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/ConsciaMediehuset Ingeniøren Live
 
Ingen projektstyring uden risikostyring!, Jesper Pedersen - Rambøll
Ingen projektstyring uden risikostyring!, Jesper Pedersen - RambøllIngen projektstyring uden risikostyring!, Jesper Pedersen - Rambøll
Ingen projektstyring uden risikostyring!, Jesper Pedersen - RambøllMediehuset Ingeniøren Live
 
Sådan kan du bruge Berg & Have
Sådan kan du bruge Berg & HaveSådan kan du bruge Berg & Have
Sådan kan du bruge Berg & HaveMorten Have
 
Uptime certificeret Tier III: Mærsk case - Rune Stenbæk, Coromatic
Uptime certificeret Tier III: Mærsk case - Rune Stenbæk, CoromaticUptime certificeret Tier III: Mærsk case - Rune Stenbæk, Coromatic
Uptime certificeret Tier III: Mærsk case - Rune Stenbæk, CoromaticMediehuset Ingeniøren Live
 
Standardisering og effektivitet i IT afdelingen
Standardisering og effektivitet i IT afdelingenStandardisering og effektivitet i IT afdelingen
Standardisering og effektivitet i IT afdelingenMicrosoft
 

Similar to Saas, ASP og Cloud aftaler (20)

EU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdeEU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejde
 
Dcr graphs og eco know i syddjurs kommune februar 2018
Dcr graphs og eco know i syddjurs kommune februar 2018Dcr graphs og eco know i syddjurs kommune februar 2018
Dcr graphs og eco know i syddjurs kommune februar 2018
 
Muligheder for sikker cloud computing
Muligheder for sikker cloud computingMuligheder for sikker cloud computing
Muligheder for sikker cloud computing
 
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
 
Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)
 
Itera: Fremtidens projekt- og procesværktøjer er her nu
Itera: Fremtidens projekt- og procesværktøjer er her nuItera: Fremtidens projekt- og procesværktøjer er her nu
Itera: Fremtidens projekt- og procesværktøjer er her nu
 
Sikkert i Skyen.pptx
Sikkert i Skyen.pptxSikkert i Skyen.pptx
Sikkert i Skyen.pptx
 
GDPR og Cloud - Infowise
GDPR og Cloud - InfowiseGDPR og Cloud - Infowise
GDPR og Cloud - Infowise
 
Erfaringer med systemtest baseret på cases i det nordjyske af Niels Andersen,...
Erfaringer med systemtest baseret på cases i det nordjyske af Niels Andersen,...Erfaringer med systemtest baseret på cases i det nordjyske af Niels Andersen,...
Erfaringer med systemtest baseret på cases i det nordjyske af Niels Andersen,...
 
Står bagdøren åben? - TOPdesk on Tour Denmark 2017
Står bagdøren åben? - TOPdesk on Tour Denmark 2017Står bagdøren åben? - TOPdesk on Tour Denmark 2017
Står bagdøren åben? - TOPdesk on Tour Denmark 2017
 
Digicure seminar | Mobil web performance optimering
Digicure seminar | Mobil web performance optimeringDigicure seminar | Mobil web performance optimering
Digicure seminar | Mobil web performance optimering
 
Netcompany MorgenBriefingCRM
Netcompany MorgenBriefingCRMNetcompany MorgenBriefingCRM
Netcompany MorgenBriefingCRM
 
Sikring af interoperabilitet i et IoT økosystem
Sikring af interoperabilitet i et IoT økosystemSikring af interoperabilitet i et IoT økosystem
Sikring af interoperabilitet i et IoT økosystem
 
Nyt CMS til din kommune?
Nyt CMS til din kommune?Nyt CMS til din kommune?
Nyt CMS til din kommune?
 
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/ConsciaSådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
 
Ingen projektstyring uden risikostyring!, Jesper Pedersen - Rambøll
Ingen projektstyring uden risikostyring!, Jesper Pedersen - RambøllIngen projektstyring uden risikostyring!, Jesper Pedersen - Rambøll
Ingen projektstyring uden risikostyring!, Jesper Pedersen - Rambøll
 
Sådan kan du bruge Berg & Have
Sådan kan du bruge Berg & HaveSådan kan du bruge Berg & Have
Sådan kan du bruge Berg & Have
 
Uptime certificeret Tier III: Mærsk case - Rune Stenbæk, Coromatic
Uptime certificeret Tier III: Mærsk case - Rune Stenbæk, CoromaticUptime certificeret Tier III: Mærsk case - Rune Stenbæk, Coromatic
Uptime certificeret Tier III: Mærsk case - Rune Stenbæk, Coromatic
 
Bof webinar-ibm docs-august2013
Bof webinar-ibm docs-august2013Bof webinar-ibm docs-august2013
Bof webinar-ibm docs-august2013
 
Standardisering og effektivitet i IT afdelingen
Standardisering og effektivitet i IT afdelingenStandardisering og effektivitet i IT afdelingen
Standardisering og effektivitet i IT afdelingen
 

Saas, ASP og Cloud aftaler

  • 1. SaaS & ASP & Cloud Computing Internet Week 2016 13. maj 2016 Advokat Peter Lind Nielsen
  • 2. ASP/SaaS ● Application Service Provider eller Software as a Service − ”Udlejer” af standardsoftware eller standardløsninger − Ligner outsourcing/facility management eller hostingaftaler - en abonnementsaftale − Leverandør, der stiller (ofte) standardsoftware til rådighed for kunder, der via netforbindelse kan afvikle softwaren, herunder behandle egne data, beliggende på leverandørens system (Mainframe, "tynde" klienter) Side 2
  • 3. Cloud? = Dine data ligger på en andens computer! Problem? Hvor er den? Side 3
  • 4. Typer af "cloud computing" Customer Boundary Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Internal External Application Application Application Platform Platform Platform Infrastructure Infrastructure Infrastructure SaaS (ASP) Software as a Service IaaS + PaaS + brugerprogramme l – kunden tilgår programmel fra webbrowser PaaS Platform as a Service IaaS + grundlæggende service fx backup, basisprogrammel IaaS Infrastructure as a Service Netværk, computerkraft, lagerplads Det kan være private clouds, public clouds eller restricted community clouds. this market is)DSide 4
  • 5. Store spillere = ufravigelige standardaftaler ● Juridisk rådgivning − Standardbetingelserne kan sjældent individuelt forhandles! − Vurder overholdelse af lovgivning − Risk Management og forklaring af risici og evt. forslag til afdækning og minimering inden for leverandørens "system" Side 5
  • 6. Standardaftaler ● Ingen standardkontrakter på området ● Inspiration fra − Outsourcing/facility management − Vedligeholdelses- og driftsstøtteaftaler − Abonnementsaftaler ● Norsk IKT-aftale − Det væsentlige ligger i bilag − Mange huller Side 6
  • 7. Fordele ● Leverandøren står for installation, drift og vedligeholdelse af platform/softwaren ● Brugeren skal blot betjene systemet – "abonnementsordning" – via webinterface ● Alle omkostninger til drift m.v. sker efter en fast (?) pris, der let kan indgå i budgettet, og der kommer ingen "grimme" overraskelser ● Ingen teknisk viden hos kunden Side 7
  • 8. Ulemper ● Mister indflydelse ● Mister rådigheden ● Er afhængig af én leverandør ● Risikomomenter som fx internettet og netværksnedbrud, samt leverandørens økonomiske situation og konkurs − ”Gidselsituation”! ● Ofte kun en standardløsning ● Lock-in situation - dataformater ● Skal fortsat have udstyr og behov for teknisk hjælp til intranet og eget udstyr Side 8
  • 9. Kundens overvejelser inden ASP/SaaS ● Man mister et system og råderetten – man er "lejer" ● Egne omkostninger med nuværende ordning/system ● Omkostninger ved ASP/SaaS - hvad er navnlig ikke dækket − Køb ctr. ”leje” ● Er der nogen reel risiko, eller er risikoen højere end ved eget system, fx ved backup og nedbrud ● Kan man leve med standardløsninger ● Undersøgelse af ASP/SaaS-leverandører − Besøg på ”pladsen” − ASP-leverandørens størrelse, fx antal ansatte og økonomi − Antal kunder og typer af kunder − Er leverandøren afhængig af mange underleverandører − Er det leverandørens eget udviklet software Side 9
  • 10. Hvad leveres der ● Hvad stiller leverandøren til rådighed − Server - kapacitet − Platform − Software versionsnr./moduler • Krav til funktionalitet - eventuel kravspecifikation • Kommunikationsudstyr − Hardware i øvrigt, fx backup, spejling − Support − Totalleverandør? ● Skal leverandøren levere software/hardware til kunden − Hvad er så minimumskravene til kundens system Side 10
  • 11. Etablering ● Klar ansvarsfordeling med hvem, der anskaffer hvad ● Hvilke aftaler skal kunden indgå med tredjemand − Hotlineaftaler, internetforbindelse, router etc. ● Overtagelsesprøve (a la K01) ● Driftsprøve (a la K01) ● Ofte blot opsætning – kør! Side 11
  • 12. SLA I ● Service Level Agreement − Opdatering og fejlrettelser ved softwaren • Ret/pligt til opdatering • Forholdet til specialtilretninger –ofte ingen! − Vedligeholdelse hvornår – "servicevinduer" − Driftseffektivitet og svartider • Målepunkter og metoder − Løbende overvågning 24 x (7) x 365 − Reaktionstider − Backup/reetablering Side 12
  • 13. SLA II ● Hotline og support − Bemanding og åbningstid ● Ingen "garanti" uden sanktion! − Bod/bonus/afslag i vederlaget − Ofte lav pris derfor få eller ingen bodsbelagte forhold − Ophævelse sjældent en hensigtsmæssig sanktion – men den eneste − Minimum hurtig opsigelse hvis misligholdelse ● Månedlig afrapportering af problemer, herunder nedetid m.v. − Gennemsigtighed for kunden – hvad leveres? Side 13
  • 14. Priser I ● Etableringsudgifter ● Vederlaget pr. måned/kvartal/år - forud/bagud − Pr. bruger − Pr. tid på systemet − Pr. behandlet datamængde − Fast pris pr. applikation ● Beregningsmatrix - eksempler Side 14
  • 15. Priser II ● Ændring af vederlaget − Løbende regulering ved uændrede forhold − Ændring i ydelsen, fx flere brugere, flere applikationer m.v. − Ændring af licenspriser fra tredjemand – fx SPLA-aftaler ● Hvad er omfattet af vederlaget − Hotline/support − Opdateringer − Kommunikation Side 15
  • 16. Sikkerhed I ● Datasikkerhed ved opbevaring og kommunikation − Krav i persondataloven • Ansvarlig for at databehandler (ASP/SaaS leverandøren) overholder reglerne • Skriftlig aftale mellem dataansvarlig og databehandler – Se EU’s standardaftale − Anden lovgivning, fx bogføringsloven, outsourcingsbekg., krigsreglen − Kryptering af transmission − SaaS/Cloud-computing – hvor bliver data’ene opbevaret? • Hvem har adgang til de data • Uden for EU – PAS PÅ!!! • Lokationsgaranti og afskærmning mod tilgang fra 3.lande • EU-standardbehandleraftale − Pas på underdatabehandlere! • Support og vedligeholdelse – også databehandlere! Side 16
  • 17. Sikkerhed II ● Backup − Hvor tit – og tid på døgnet (CET?) − Bånd, redundante servermiljøer… hvad består backuppen af − Frist for reetablering (ansvarsfraskrivelse) − Løbende test af reetablering − Opbevaring af sikkerhedskopier − Backup hos tredjemand • ”Deponeringsaftale” hvis leverandøren er i misligholdelse Side 17
  • 18. Sikkerhed III ● Firewall ● Virusscanning m.v. ● Strømforsyning/UPS ● Passwords, krav til længde, ændring osv. ● "Egen server" eller "deleserver"/virtuel server − Fysisk adskillelse til andres data − Identificérbarhed for kundens data Side 18
  • 19. Sikkerhed IV ● Katastrofeplan − Strømsvigt, ild, oversvømmelse, virus m.v. − Mulighed for replikering på servere på andre lokaliteter − Eskaleringsprocedure − Reaktionstid − Løbende afprøvning ● Kundens ret til kontrol af leverandørens sikkerhedsrutiner ● Evt. krav om revisorerklæringer vedr. sikkerhed − SAS 70, ISO 27001 eller ISAE 3402 Side 19
  • 20. Eksempel ● Odense Kommunes mulige brug af Google Apps ● Udtalelse fra Datatilsynet ● ……det bliver svært ● http://www.datatilsynet.dk/afgoerelser/seneste- afgoerelser/artikel/udtalelse-i-forbindelse-med-anmeldelse-af-google-apps- online-kontorpakke-med-kalender-og- dokument/?no_cache=1&cHash=bb7c0cc5dc Side 20
  • 21. ● I givet fald må som minimum følgende belyses: ● om Odense Kommune har foretaget en risikovurdering og udfaldet af denne, ● Odense Kommunes vurdering af den i følgebrevet omtalte SAS70 Type II Certification, ● hvilken databehandleraftale, der er indgået eller forventes indgået mellem Odense Kommune og Google Inc., jf. persondatalovens § 42, stk. 2, og sikkerhedsbekendtgørelsens § 7, ● om Odense Kommune har kontrol med, hvor oplysningerne fysisk befinder sig, herunder om oplysningerne alene vil befinde sig på den i anmeldelsen angivne danske adresse i Danmark, eller om de blive behandlet i et andet EU- land eller i et tredjeland3, og ● såfremt oplysningerne behandles i et tredjeland, hvorledes Odense Kommune har tænkt sig at iagttage kravene i persondatalovens § 27, ● hvorledes Odense Kommune vil iagttage sikkerhedsbekendtgørelsens § 9 omkring kassation af anvendte datamedier − Herunder hvorledes Odense Kommune har tænkt sig at sikre, at alle personoplysninger bliver slettet hos Google Inc. efter endt behandling, ● om al behandling af fortrolige personoplysninger vil ske i krypteret form, ● hvilke procedurer der vil blive anvendt ved tildeling af autorisationer, − herunder hvordan Odense Kommune vil kontrollere at kun autoriserede brugere får adgang, ● om adgangskoder vil blive sendt via det åbne internet, ● om en bruger vil kunne vælge, at vedkommendes adgangskode huskes, så den ikke skal indtastes hver gang, ● hvordan kravene til kontrol med afviste adgangsforsøg i sikkerhedsbekendtgørelsens § 18 vil blive iagttaget, samt ● hvordan sikkerhedsbekendtgørelsens § 19 om logning vil blive iagttaget. Side 21
  • 22. Microsoft 365 ● Udtalelse fra Datatilsynet − Sikkerhedsanalyse og vurderinger − Databehandleraftale • Underdatabehandler − Ret til fysisk kontrol − Logning − Revisionserklæringer Side 22
  • 23. Leverandørens ansvar I ● Hvad har leverandøren ansvaret for − Til egen "hoveddør" − Til kundens "hoveddør" − Til kundens skærm ● Ansvarsfraskrivelser − Ofte meget omfattende − For underleverandører • Applikationsleverandør • Hosting-/driftsleverandør - underdatabehandler − Tab af data - pligt til reetablering − Virus, hacking, strømudfald? − Hvad skal være force majeure? Side 23
  • 24. Leverandørens ansvar II ● Ansvar for standardsoftware − Reaktionspligt og opfølgning over for producenten − Afslag for mangelfuld ydelse − Begrænsninger i ansvaret ved fejl og mangler ved standardsoftware Side 24
  • 25. Ændringshåndtering ● Udvidelser/indskrænkninger i servicen − Flere typer af software/moduler - optioner − Datamængde, antal brugere m.v., moduler − Hvordan beregnes vederlaget ved ændringer − Frister for ændringer − Hvem kan kræve hvilke ændringer − Nemt at skrue op – men hvad med reduktion ● Sikring af funktionalitet og service Side 25
  • 26. Sanktioner ved ændringer ● Kunden bør altid have en mulighed for at opsige aftalen, inden en væsentlig ændring træder i kraft medmindre: − Objektive og aftalte mekanismer • Forbrugsafregning og nettoprisindeksregulering • Uvæsentlige ændringer Side 26
  • 27. Kundens data ● Kundens data er kundens ejendom ● Bør sikre, at der ikke er tilbageholdelsesret i data ● Kan de identificeres, fx til brug for en fogedretssag ● Løbende udlevering? ● Dokumentation for systemet − Software, versioner, opdateringer m.v. − Dokumentation for opsætning og tilretninger • Ofte kan kunden ikke få konfigurations- og driftsdokumentation − Mulighed for at flytte til anden leverandør • Ofte kan kunden kun tage egne data med ● Katastrofescenarie - afprøvning Side 27
  • 28. Immaterielle rettigheder ● Forholdet til standardsoftwareproducenten − Må der laves ASP i henhold til licensbetingelserne • Fx Microsoft Services Provider License Agreement (SPLA) − Er løsningen i overensstemmelse med licensbetingelserne − Ansvarsfraskrivelser fra leverandøren − Hvem indgås aftalen egentlig med ● Vanhjemmel og kundens sanktioner ved krænkelse af tredjemandsrettigheder ● Mulighed for overtagelse af licenser m.v. ved ophør af aftalen? Side 28
  • 29. Misligholdelse ● Kunden − Manglende betaling - frister og påkrav − Leverandørens mulighed for at stoppe ydelser/tilbageholdsret − Krav om sikkerhedsstillelse ● Leverandøren − Konkretisering af misligholdelsen • Manglende overholdelse af SLA − Økonomiske vanskeligheder fx ved udlæg, konkurs, rekonstruktionsforhandlinger mm. Side 29
  • 30. Opsigelse ● Uopsigelighedsperiode ● Varsel ● Begrænsninger i retten til at opsige ● Delvis opsigelse ● Ophævelse − Frist for afhjælpning - knyttet til SLA og performance og ikke bare fx 14 dages afhjælpningsret − Fastlæggelse af kompensation ved leverandørens misligholdelse Side 30
  • 31. Ophør - tilbagelevering ● Udlevering af data og dokumentation − Hvilke data • Programmer? • Dokumentation? • Ændringer/tilpasninger – konfigurationsoplysninger m.v. − Datamedie og format − Tidsfrister − Afgivelse af øvrige oplysninger − Pligt for leverandøren til at medvirke eventuelt mod betaling - Forskel mellem ophævelse og opsigelse • Fx sikkerhedsstillelse ved ophævelse som følge af kundens misligholdelse Side 31
  • 32. Væsentlige forhold - tjekliste ● Priser og prissammensætning ● Opsigelse − Frister, uopsigelighed, cyklusser ● Betingelse af indgåelse af andre aftaler − Licensaftaler − Teleaftaler ● Leverandørens ændring af − Ydelser − Vilkår − Priser − Varsel – ændringsvarsel <> opsigelsesvarsel ● Sikkerhed − Backup – opbevaring, hvor tit − Kryptering − Firewall − Overholdelse af standarder DS484, ISO - revisionserklæring Side 32
  • 33. ● Sikkerhed − Backup – opbevaring og hvor tit − Disaster recovery − Data placering − Adskillelse fra andre kunder − Password krav og styring − Kryptering − Firewall − Overholdelse af standarder DS484, ISO m.fl. • Revisionserklæring • Eller anden form for kontrol ● Kan vi opfylde loven? − Persondata, bogføringslov osv. Side 33
  • 34. ● Support ● Servicemål − Reaktionstider, frister for fejlretning, oppetid ● Kundens misligholdelse – sanktioner − Tilbageholdsret i data/applikationer − Stoppe ydelserne uden påkrav − Ophævelse ● Leverandørens misligholdelse − Garantier uden sanktioner? − Afslag/bod − Hæve − Opsigelse – evt. forkortet varsel − Erstatningsbegrænsning ● Konkurs − Kan data identificeres Side 34
  • 35. ● Opsigelse/ophør ● Placering af data ● Underleverandører ● Kundens adgang til data − Mulighed for at kunden kan tage backup − Formater – evt. åbne/standardformater − Ved ophør hvad så? − Worst case – totalt nedbrud? ● Overdragelse ● Lovvalg og værneting Side 35